微软发布新安全更新 以修补Windows远端执行漏洞

CNET科技资讯网3月12日国际报道 微软10日针对所有现行支持的Windows版本发布一项安全更新，修补可能造成攻击者以恶意影像文档，自远端操控系统的重大安全漏洞。

根据微软的公告，针对Windows 2000、XP、Vista、Server 2003和Server 2008发布的MS09-006安全更新，是修补一项影响Enhanced MetaFile（EMF）或Windows MetaFile（WMF）显示格式所制作之影像的弱点。

安全厂商Qualys首席技术官Wolfgang Kandek说：“攻击者可以发出内含恶意影响的电邮，或（引诱）你前往内有恶意影像的网站，或从别处取得影像，如超小型U盘。”

赛门铁克安全应变中心（Symantec Security Response）开发副总Alfred Huger提醒，攻击者也能将.WMF和.EMF文档伪装成其他影像文档格式，如.JPG，以蒙骗小心的使用者。

同样在10日修补的还有另两个列为“重要”的漏洞。攻击者可借此伪装成他人，进行诈骗。受影响的同样包括所有现行Windows系统。

其中一项针对Windows 2000、Server 2003和Server 2008的重要更新，补救了两个私下通报和两个已曝光的Windows DNS服务器与Windows WINS（Windows域名服务器）弱点。这些漏洞能让攻击者将网络流量重新导向恶意网站。

第二个重要更新MS09-007，是针对所有现行Windows系统。该弱点位于Windows系统的Secure Channel安全封包，攻击者可借此取得终端使用者要求授权所用的认证。微软表示，顾客只有在认证所用的公共金钥元件曾被其他某种手段取得时，才会受到影响。Kandek则表示，由于使用相关技术的公司很少，这个漏洞的风险应可降到最低。

微软尚未对上月曝光的Excel漏洞提供补救方案，该漏洞早在去年12月就出现零时差攻击程序。